사쿠라 호스팅 - 한국어 지원 일본웹호스팅 사쿠라호스팅

Rocky Linux 9 SELinux 실무 트러블슈팅

2026-04-15T10:00:00+09:00

“포트를 8080으로 바꿨는데 서비스가 시작은 되고 접속이 안 된다”, “웹 서버가 /data 경로의 파일을 못 읽는다” 같은 증상의 상당수는 SELinux의 거부 로그를 확인하지 않아 생긴 일입니다. Rocky Linux 9는 enforcing이 기본이고 targeted 정책이 활성화돼 있으므로, 운영자는 문제가 생겼을 때 먼저 audit 로그를 읽을 줄 알아야 합니다.

1. 현재 상태 빠르게 파악

# 현재 모드
getenforce         # Enforcing / Permissive / Disabled

# 정책·모드 종합
sestatus

# 최근 거부 건수 요약
ausearch -m AVC,USER_AVC -ts recent --format text | head

Enforcing에서 거부가 자꾸 발생한다면, 정책을 건드리기 전에 로그를 먼저 읽는 것이 순서입니다.

2. audit 로그 해석하는 최소 루틴

2-1. 무엇이 거부됐는지 찾기

# 최근 10분치 AVC 거부
ausearch -m AVC -ts recent

# 특정 서비스 관련
ausearch -m AVC -c nginx

# 타임스탬프로 범위 지정
ausearch -m AVC -ts today -te now

일반적인 출력 형식은 다음과 같습니다.

type=AVC msg=audit(1728720012.345:678): avc: denied { write } for
  pid=1234 comm="nginx" name="uploads" dev="dm-0" ino=98765
  scontext=system_u:system_r:httpd_t:s0
  tcontext=system_u:object_r:var_t:s0
  tclass=dir permissive=0

읽을 때 주목해야 할 세 가지:

denied { ... } — 어떤 권한이 거부됐는지
scontext — 누가(예: httpd_t)
tcontext, tclass — 무엇에 대해(예: var_t 타입의 디렉터리)

2-2. 사람이 읽는 요약과 권장 해결책

# 간단 요약
sealert -a /var/log/audit/audit.log | head -80

# 특정 거부에 대한 추천 정책 생성
ausearch -m AVC -ts recent | audit2allow -a -M nginx_uploads
ls nginx_uploads.pp nginx_uploads.te

audit2allow의 출력은 참고용이지 그대로 적용하는 것은 위험합니다. 꼭 .te 파일을 열어 허용되는 범위를 확인한 뒤 로드합니다.

3. 자주 마주치는 시나리오

3-1. 포트 변경

# 웹 서버를 8080 대신 8181로 서비스
semanage port -l | grep -E 'http_port_t|8181'
semanage port -a -t http_port_t -p tcp 8181

-a 대신 이미 다른 타입에 할당된 포트라면 -m(modify)를 써야 합니다.

3-2. 커스텀 경로의 파일 컨텍스트

데이터 디렉터리를 /var/www 외 위치에 두는 경우:

# 영구 규칙 등록
semanage fcontext -a -t httpd_sys_content_t '/srv/app(/.*)?'

# 기존 파일에 적용
restorecon -Rv /srv/app

# 확인
ls -lZ /srv/app | head

-a 없이 -l | grep /srv/app으로 현재 등록 상태를 먼저 살펴봅니다. /data/logs처럼 쓰기가 필요한 경로라면 httpd_sys_rw_content_t를 씁니다.

3-3. 부울(boolean) 토글

SELinux 정책에는 상황별 on/off 스위치가 많습니다.

# 설명과 함께 모두 보기
getsebool -a | grep -i httpd | head

# 외부 네트워크로 나가는 HTTP 요청 허용
setsebool -P httpd_can_network_connect on

# DB 커넥션 허용
setsebool -P httpd_can_network_connect_db on

-P는 재부팅 후에도 유지됩니다.

3-4. 일시적 허용 모드 — 단, 끄지 말고 전환

# 특정 도메인만 일시적으로 permissive로 전환
semanage permissive -a httpd_t

# 되돌리기
semanage permissive -d httpd_t

전체를 setenforce 0으로 끄는 것보다, 문제 도메인만 좁혀서 거부 로그를 수집하고 정책을 만든 뒤 다시 enforcing으로 돌리는 흐름이 안전합니다.

3-5. 커스텀 정책 모듈

# 문제 상황 재현 → 로그 수집 → 정책 생성
setenforce 0
systemctl restart myapp
# ... 여기서 문제 재현 ...
setenforce 1

ausearch -m AVC -c myapp | audit2allow -M myapp_local
semodule -i myapp_local.pp

# 로드된 모듈 확인
semodule -l | grep myapp_local

# 롤백
semodule -r myapp_local

audit2allow가 생성한 .te 파일은 반드시 열어 수정합니다. 예를 들어 allow myapp_t self:capability sys_admin; 같은 광범위한 권한이 들어가 있다면, 실제 필요한 것만 남기고 나머지는 지워 다시 컴파일합니다.

checkmodule -M -m -o myapp_local.mod myapp_local.te
semodule_package -o myapp_local.pp -m myapp_local.mod
semodule -i myapp_local.pp

4. 컨테이너 환경

Podman·Docker가 설치된 Rocky 9에서는 컨테이너 내 프로세스가 container_t로 라벨됩니다. 호스트 디렉터리를 바인드 마운트할 때는 접미사 :z(공유) 또는 :Z(전용)를 붙여 자동 리라벨을 활용합니다.

# 자동 리라벨로 마운트
podman run -d \
  -v /srv/app/data:/data:Z \
  -p 8080:8080 \
  myapp:latest

:Z는 호스트 디렉터리의 컨텍스트를 해당 컨테이너 전용 라벨로 바꾸므로, 여러 컨테이너가 같은 디렉터리를 공유한다면 :z를 써야 합니다.

5. 빠른 진단 알리아스

매번 긴 명령을 치기 번거로우면 다음 함수를 ~/.bashrc에 두면 편합니다.

# 최근 5분간의 SELinux 거부 요약
selrecent() {
    ausearch -m AVC,USER_AVC -ts recent 2>/dev/null \
      | audit2allow -a \
      | head -40
}

# 특정 서비스의 거부만
selfor() {
    ausearch -m AVC -c "$1" -ts today 2>/dev/null | audit2allow -a
}

6. 영구 비활성화는 최후의 선택

/etc/selinux/config에서 SELINUX=disabled로 두면 보호 기능이 완전히 사라집니다. 더불어 Rocky 9에서는 disabled로 부팅 시 파일 컨텍스트가 갱신되지 않아, 나중에 다시 활성화하려 할 때 전체 재라벨링(fixfiles -F onboot 후 재부팅)이 필요합니다. 트러블슈팅 시간 대신 비활성화를 택하는 흐름은 장기적으로 더 많은 비용을 불러옵니다.

SELinux의 거부 메시지는 얼핏 불친절해 보이지만, ausearch + audit2allow + sealert 세 도구를 익히면 대부분의 문제는 10분 안에 추적됩니다. 운영 중인 Rocky 9 서버가 있다면, 장애가 나기 전에 한 번씩 sealert -a를 돌려 누적된 경고를 점검해 두는 습관이 든든합니다.

Nginx에 HTTP/3(QUIC) 적용하고 성능 비교하기

2026-04-05T10:00:00+09:00

HTTP/3는 TCP 대신 UDP 위에서 동작하는 QUIC 프로토콜을 사용합니다. 첫 핸드셰이크가 1-RTT(재방문은 0-RTT)로 끝나고, 한 연결 안의 여러 스트림이 서로 블록되지 않는 구조이기 때문에 패킷 손실이 잦은 모바일 회선이나 장거리 국제 회선에서 체감 성능 개선이 특히 큽니다. Nginx 1.25부터 QUIC가 메인라인에 포함되었고, 1.27 이상에서는 대부분의 배포판 패키지로도 바로 쓸 수 있게 되면서 도입 문턱이 크게 낮아졌습니다.

1. 전제와 버전 확인

Nginx 1.25 이상 (1.27+ 권장)
OpenSSL 3.x 또는 QUIC를 지원하는 TLS 라이브러리(BoringSSL/quictls)
UDP/443 포트 인바운드 허용
TLS 1.3 서버 인증서

nginx -V 2>&1 | tr ' ' '\n' | grep -E 'http_v3|quic|ssl'
# 출력 예: --with-http_v3_module  --with-http_ssl_module

Rocky 9·Ubuntu 24.04의 기본 패키지는 1.20대라 모듈이 빠져 있는 경우가 많습니다. 공식 저장소 사용을 권장합니다.

공식 저장소로 1.27 설치 (Rocky 9)

cat <<'EOF' | sudo tee /etc/yum.repos.d/nginx.repo
[nginx-stable]
name=nginx stable repo
baseurl=http://nginx.org/packages/centos/9/$basearch/
gpgcheck=1
enabled=1
gpgkey=https://nginx.org/keys/nginx_signing.key
module_hotfixes=true
EOF

sudo dnf install -y nginx

2. 최소 동작 설정

server {
    # HTTP/2 (TCP 443)
    listen 443 ssl;
    listen [::]:443 ssl;
    http2 on;

    # HTTP/3 (UDP 443)
    listen 443 quic reuseport;
    listen [::]:443 quic reuseport;
    http3 on;

    server_name example.com;

    ssl_certificate     /etc/letsencrypt/live/example.com/fullchain.pem;
    ssl_certificate_key /etc/letsencrypt/live/example.com/privkey.pem;
    ssl_protocols       TLSv1.3;
    ssl_ciphers         TLS_AES_128_GCM_SHA256:TLS_AES_256_GCM_SHA384:TLS_CHACHA20_POLY1305_SHA256;
    ssl_prefer_server_ciphers off;

    # 브라우저가 HTTP/3로 업그레이드하도록 광고
    add_header Alt-Svc 'h3=":443"; ma=86400' always;

    # (선택) 0-RTT 허용
    ssl_early_data on;
    proxy_set_header Early-Data $ssl_early_data;

    root /var/www/example.com;
    index index.html;
}

reuseport: 여러 워커가 동일 UDP 포트를 커널 레벨에서 로드밸런싱
Alt-Svc: 최초엔 HTTP/2로 응답하고, 헤더를 본 브라우저가 다음 요청부터 HTTP/3로 업그레이드
ssl_early_data on: 0-RTT 허용. Replay 공격 위험이 있는 POST/PUT은 애플리케이션에서 별도 방어 필요

3. 방화벽

인바운드 UDP 443을 열어야 합니다. 이 부분을 놓쳐서 “curl –http3으로 안 되네” 하는 경우가 실제로 가장 흔합니다.

# firewalld (Rocky/Alma)
firewall-cmd --permanent --add-port=443/udp
firewall-cmd --reload

# ufw (Ubuntu)
ufw allow 443/udp

클라우드 환경에서는 VPC 시큐리티 그룹/네트워크 ACL에도 같이 추가해야 합니다.

4. 확인

curl

# HTTP/3로 강제
curl -v --http3 https://example.com/ 2>&1 | grep -i 'alpn\|HTTP/3'

# 응답 헤더
curl -sI --http3 https://example.com/ | head

브라우저

크롬 DevTools의 Network 탭 → Protocol 컬럼을 켜면 h3 표시가 나옵니다. 최초 방문은 보통 h2이고, 두 번째 요청부터 h3으로 바뀝니다.

5. 성능 비교

간단한 정적 파일에 대해 서울↔도쿄 회선에서 curl -w 타이밍을 20회 평균한 예시입니다. 실 결과는 네트워크 상태에 따라 크게 달라집니다.

구간	HTTP/2	HTTP/3
DNS lookup	12 ms	12 ms
TCP connect	26 ms	—
TLS handshake	38 ms	24 ms (0-RTT 시 ~0 ms)
TTFB	102 ms	78 ms
총 전송(1MB)	220 ms	185 ms

주목할 점은 평균보다 “꼬리 지연(tail latency)”입니다. 3G/저속 Wi-Fi처럼 패킷 손실이 있는 환경에서 HTTP/2는 헤드 오브 라인 블로킹으로 P95가 급격히 나빠지는 반면, HTTP/3는 스트림이 독립적이라 완만합니다.

간단한 벤치 스크립트

#!/usr/bin/env bash
url="$1"
for proto in http2 http3; do
    echo "== $proto =="
    for i in $(seq 1 20); do
        curl -s -o /dev/null --"$proto" \
            -w "%{time_connect} %{time_appconnect} %{time_starttransfer} %{time_total}\n" \
            "$url"
    done
done

6. 운영 체크리스트

MTU 문제: UDP는 단편화에 취약합니다. 일부 국제 회선에서 1500 바이트 전후 패킷이 드롭되면 HTTP/3만 느려지는 현상이 생깁니다. quic_gso on;(Nginx 1.25.1+) 설정과 함께 경로 MTU를 확인합니다.

로그: 기본 access log 포맷에 $http3 변수가 없으므로 다음처럼 확장합니다.

log_format main_h3 '$remote_addr - $remote_user [$time_local] '
                   '"$request" $status $body_bytes_sent '
                   'proto=$server_protocol h3=$http3 rt=$request_time';
access_log /var/log/nginx/access.log main_h3;

Alt-Svc 캐시: 서비스를 내렸다가 다시 올릴 때 이전 공지된 포트·ALPN이 계속 시도될 수 있습니다. 포트를 바꾸려면 Alt-Svc: clear를 일정 기간 보낸 뒤 교체합니다.
로드밸런서 앞단: 클라우드 L4 로드밸런서가 UDP를 지원해야 합니다. AWS NLB는 UDP 리스너, GCP Global LB는 HTTPS(HTTP/3 on) 옵션, CloudFront는 기본 지원.
프록시 뒤 Nginx: CloudFront/Cloudflare 뒤에서만 HTTP/3를 제공한다면 오리진 Nginx는 HTTP/2만 서비스해도 사용자 경험은 동일합니다.

HTTP/3는 “켜기만 하면 빨라지는 스위치”가 아니라, 모바일·장거리 사용자 비중이 높을수록 효과가 커지는 프로토콜입니다. 사용자 지역 분포와 실 측정치를 보고 전환 여부를 판단하시되, 정적 리소스 배포 사이트·SPA·스트리밍 서비스라면 거의 언제나 도입 이득이 큽니다.

PostgreSQL 17 논리 복제(Logical Replication) 실전 가이드

2026-03-24T10:00:00+09:00

PostgreSQL의 복제는 크게 둘로 나뉩니다. 물리 복제(Streaming Replication)는 WAL 블록 단위로 바이트 레벨 동기화하며, 전체 클러스터를 그대로 복사하므로 버전·아키텍처가 같아야 합니다. 논리 복제(Logical Replication)는 WAL을 디코딩해 INSERT/UPDATE/DELETE 수준으로 전달하므로 버전·스키마가 달라도 작동하며, 일부 테이블만 복제하거나 서로 다른 샤드를 합치는 용도로 활용할 수 있습니다. PostgreSQL 17부터는 논리 복제가 failover slot과 시퀀스 복제를 지원하면서 HA 구성에서도 더 적극적으로 쓸 수 있게 됐습니다.

PostgreSQL 17에서 달라진 점

failover slot: 논리 슬롯이 스탠바이로 자동 승계되어, 프라이머리 장애 후에도 구독이 깨지지 않음
양방향 복제(bi-directional) 공식 지원: origin 필터와 replication identity 확장으로 구성이 단순화
pg_createsubscriber: 물리 스탠바이를 논리 구독자로 변환하는 공식 도구
컬럼 단위 필터링 고도화: UPDATE 시 특정 컬럼만 전송
pg_logical_emit_message: 애플리케이션 메시지를 WAL에 주입해 논리 스트림으로 전달

1. 전제 조건

프라이머리(Publisher)와 스탠바이(Subscriber) 모두 다음 설정이 필요합니다.

# postgresql.conf (Publisher)
wal_level = logical               # 논리 디코딩 활성화
max_replication_slots = 10        # 슬롯 예약 수
max_wal_senders = 10              # wal sender 프로세스 수
wal_keep_size = 1GB               # 슬롯 없을 때 WAL 보관량

# postgresql.conf (Subscriber)
max_logical_replication_workers = 4
max_worker_processes = 8

# pg_hba.conf (Publisher)
host    replication     replicator     10.0.0.0/24    scram-sha-256
host    appdb           replicator     10.0.0.0/24    scram-sha-256

전용 복제 계정을 만들고 REPLICATION 권한을 부여합니다.

-- Publisher
CREATE ROLE replicator WITH LOGIN REPLICATION PASSWORD 'StrongPass123!';
GRANT CONNECT ON DATABASE appdb TO replicator;
\c appdb
GRANT USAGE ON SCHEMA public TO replicator;
GRANT SELECT ON ALL TABLES IN SCHEMA public TO replicator;
ALTER DEFAULT PRIVILEGES IN SCHEMA public
  GRANT SELECT ON TABLES TO replicator;

2. Publication 만들기

Publication은 “어떤 테이블의 어떤 변경을 내보낼지” 정의합니다.

-- Publisher
-- 전체 테이블 복제
CREATE PUBLICATION pub_all FOR ALL TABLES;

-- 일부 테이블만
CREATE PUBLICATION pub_core
  FOR TABLE users, orders, payments
  WITH (publish = 'insert, update, delete');

-- 행 필터 (WHERE 절)
CREATE PUBLICATION pub_kr_users
  FOR TABLE users WHERE (country_code = 'KR');

-- 컬럼 필터
CREATE PUBLICATION pub_users_min
  FOR TABLE users (id, email, updated_at);

3. Subscription 생성

구독자 측에서는 동일한 스키마가 먼저 존재해야 합니다. 최초 스키마는 pg_dump -s로 복사합니다.

# Publisher에서 스키마만 덤프
pg_dump -h pub-host -U postgres -s appdb > schema.sql

# Subscriber에 적용
psql -h sub-host -U postgres -d appdb -f schema.sql

이후 구독을 생성합니다.

-- Subscriber
CREATE SUBSCRIPTION sub_core
  CONNECTION 'host=pub-host port=5432 dbname=appdb user=replicator password=StrongPass123!'
  PUBLICATION pub_core
  WITH (
    copy_data     = true,     -- 최초 스냅샷 복사
    create_slot   = true,     -- Publisher에 슬롯 자동 생성
    slot_name     = 'sub_core_slot',
    failover      = true,     -- PG17: 슬롯을 스탠바이로 승계
    synchronous_commit = 'off'
  );

초기 동기화가 끝나면 WAL 기반 실시간 스트리밍으로 전환됩니다.

4. 진행 상태 모니터링

-- Publisher: 슬롯·lag 확인
SELECT slot_name, active, restart_lsn,
       confirmed_flush_lsn,
       pg_size_pretty(
         pg_wal_lsn_diff(pg_current_wal_lsn(), confirmed_flush_lsn)
       ) AS lag
FROM pg_replication_slots;

-- Publisher: WAL sender 상태
SELECT application_name, state, sync_state,
       write_lag, flush_lag, replay_lag
FROM pg_stat_replication;

-- Subscriber: 구독별 수신 상태
SELECT subname, received_lsn, latest_end_lsn,
       latest_end_time, last_msg_send_time
FROM pg_stat_subscription;

pg_stat_replication.replay_lag가 꾸준히 증가하면 구독자 측 I/O·CPU가 병목입니다. pg_replication_slots.lag가 수 GB 이상으로 쌓이면 Publisher 디스크가 고갈될 수 있으니 경보를 꼭 걸어 둡니다.

5. 장애·재동기화

구독이 오래 끊어져 WAL이 삭제됐다면 ALTER SUBSCRIPTION sub_core REFRESH PUBLICATION으로는 복구되지 않습니다. 이때는 구독을 지우고 대상 테이블을 TRUNCATE 후 재생성합니다.

-- Subscriber
ALTER SUBSCRIPTION sub_core DISABLE;
ALTER SUBSCRIPTION sub_core SET (slot_name = NONE);
DROP SUBSCRIPTION sub_core;

-- 대상 테이블 비우기
TRUNCATE users, orders, payments;

-- 재생성
CREATE SUBSCRIPTION sub_core ...;

6. 주의 사항 체크리스트

Primary Key 필수: UPDATE·DELETE를 복제하려면 REPLICA IDENTITY가 필요합니다. 대부분 PK로 충분하지만, PK 없는 테이블은 ALTER TABLE ... REPLICA IDENTITY FULL이 필요하며 성능 비용이 큽니다.
DDL은 복제되지 않음: CREATE TABLE, ALTER TABLE 등은 구독자에게 전달되지 않으므로 양쪽에 수동 반영하거나 ddl-trigger 확장을 사용합니다.
시퀀스 값: PG17부터 시퀀스 복제가 지원되지만 기본값은 꺼짐(publish_via_partition_root = false). 필요 시 별도 옵션 지정.
TOAST 컬럼: UPDATE 시 변경되지 않은 TOAST 값은 전송되지 않으므로 구독자가 값을 못 받는 경우가 있습니다. REPLICA IDENTITY FULL로 해결하거나 값이 자주 바뀐다면 복제 외 동기화를 별도로 둡니다.

7. pg_createsubscriber로 스탠바이 전환

기존 물리 스탠바이를 논리 구독자로 빠르게 변환할 수 있습니다.

# 스탠바이 정지 후 실행
pg_ctl stop -D /var/lib/pgsql/17/data -m fast

pg_createsubscriber \
  --pgdata=/var/lib/pgsql/17/data \
  --publisher-server='host=pub-host dbname=appdb user=postgres' \
  --publication=pub_core \
  --subscription=sub_core \
  --database=appdb

pg_ctl start -D /var/lib/pgsql/17/data

전체 데이터를 재복사하지 않고 기존 물리 복제 상태에서 논리 복제로 전환하므로, 수 TB급 환경에서도 다운타임을 분 단위로 제한할 수 있습니다.

논리 복제는 마이그레이션(버전 업그레이드, 리전 이동), 읽기 전용 분석 DB 운영, 샤딩된 데이터를 통합 리포팅 DB로 수집하는 시나리오에 특히 강점이 있습니다. 물리 복제와 배타적 관계가 아니므로 HA는 물리 복제로, 데이터 수집·마이그레이션은 논리 복제로 쓰는 하이브리드 구성이 실무에서 흔합니다.

Tailscale로 팀 전용 사설 네트워크 5분 안에 구성하기

2026-03-10T10:00:00+09:00

원격 근무가 일반화되면서 “사무실에 있는 서버에 어떻게 안전하게 접속할 것인가”는 모든 팀의 공통 과제입니다. 전통적인 OpenVPN·IPsec은 서버 구축·인증서 관리·방화벽 포트 개방까지 상당한 준비가 필요합니다. Tailscale은 WireGuard 위에 컨트롤 플레인을 얹어, 클라이언트 간 직접(P2P) 연결을 자동으로 만들어 주는 Mesh VPN 서비스입니다. 방화벽에 들어오는 포트를 열 필요가 없고, 설치 후 로그인 한 번이면 연결이 됩니다.

왜 Tailscale인가

NAT 뚫기 자동화: STUN·DERP 릴레이를 거쳐 양쪽 모두 NAT 뒤에 있어도 연결 성립
제로 컨피그 MagicDNS: 장비 호스트네임이 그대로 도메인처럼 동작
세분화된 ACL: JSON 기반으로 “누가 어떤 포트에 접근 가능한지” 정의
Exit Node / Subnet Router: 팀 전체 트래픽을 특정 노드로 보내거나, 기존 회사 네트워크와 브릿지

1. 계정과 테일넷 준비

tailscale.com에서 Google·Microsoft·GitHub 등으로 로그인하면 자동으로 개인·팀 전용 테일넷(tailnet)이 만들어집니다. 관리자 콘솔에서 조직 도메인을 지정하면 동일 도메인 사용자가 자동으로 같은 테일넷에 합류합니다.

2. 리눅스 서버에 설치

Rocky Linux 9 / Alma

dnf config-manager --add-repo https://pkgs.tailscale.com/stable/rhel/9/tailscale.repo
dnf install -y tailscale
systemctl enable --now tailscaled

# 브라우저 로그인 흐름
tailscale up

Ubuntu 22.04 / 24.04

curl -fsSL https://tailscale.com/install.sh | sh
sudo tailscale up

tailscale up을 실행하면 한 번 사용 URL이 출력됩니다. 브라우저에서 열어 로그인하면 해당 머신이 테일넷에 합류합니다.

macOS / Windows

Mac App Store 또는 tailscale.com/download에서 GUI 클라이언트를 설치하고 같은 계정으로 로그인하면 끝입니다.

3. 연결 확인과 MagicDNS

# 현재 테일넷 상태
tailscale status

# 각 장비 IP (100.x.x.x 대역)
tailscale ip -4

# MagicDNS로 바로 접근
ssh user@web-server
ping db-01

MagicDNS가 켜져 있으면 100.x.x.x IP를 외울 필요 없이 장비 이름으로 접근할 수 있습니다. 관리자 콘솔의 DNS 탭에서 활성화합니다.

4. ACL로 접근 권한 세분화

Tailscale의 가장 강력한 기능은 JSON ACL입니다. 관리자 콘솔의 Access Controls에서 다음처럼 작성합니다.

{
  "tagOwners": {
    "tag:prod":    ["group:sre"],
    "tag:dev":     ["group:engineering"],
    "tag:db":      ["group:sre"]
  },

  "groups": {
    "group:sre":         ["alice@example.com", "bob@example.com"],
    "group:engineering": ["group:sre", "carol@example.com"]
  },

  "acls": [
    { "action": "accept",
      "src": ["group:sre"],
      "dst": ["tag:prod:*", "tag:db:5432"] },

    { "action": "accept",
      "src": ["group:engineering"],
      "dst": ["tag:dev:*"] }
  ],

  "ssh": [
    { "action": "check",
      "src": ["group:sre"],
      "dst": ["tag:prod"],
      "users": ["root", "user"] }
  ]
}

SRE 그룹은 프로덕션과 DB(5432 포트)에 접근
엔지니어링 그룹은 개발 서버에만 접근
SRE는 프로덕션에 Tailscale SSH로 로그인 가능(2FA check 필요)

장비에 태그를 부여하려면 tailscale up --advertise-tags=tag:prod 옵션을 씁니다.

5. Exit Node — 팀 트래픽을 특정 노드로 나가게 하기

고정 IP가 필요한 SaaS IP 화이트리스트, 지역 제한 우회 등에 유용합니다.

# 서버에서 Exit Node로 광고
sudo tailscale set --advertise-exit-node

# 관리자 콘솔에서 해당 노드의 Exit Node를 승인한 후,
# 클라이언트에서 사용
sudo tailscale set --exit-node=100.64.0.10 --exit-node-allow-lan-access=true

6. Subnet Router — 기존 사내 LAN과 브릿지

사내 192.168.10.0/24 대역의 프린터·NAS까지 외부에서 접근하고 싶을 때 사용합니다.

# 라우터 역할을 할 노드에서 IP 포워딩 활성화
echo 'net.ipv4.ip_forward = 1' | sudo tee -a /etc/sysctl.d/99-tailscale.conf
echo 'net.ipv6.conf.all.forwarding = 1' | sudo tee -a /etc/sysctl.d/99-tailscale.conf
sudo sysctl -p /etc/sysctl.d/99-tailscale.conf

# 경로 광고
sudo tailscale up --advertise-routes=192.168.10.0/24

관리자 콘솔에서 광고된 라우트를 승인하면, 다른 테일넷 장비에서 192.168.10.x 주소에 바로 접근할 수 있습니다.

7. Tailscale SSH — SSH 키 관리 없이 접근

# SSH 허용 플래그와 함께 노드 등록
sudo tailscale up --ssh

이렇게 하면 원격에서 tailscale ssh user@web-server로 접근할 수 있고, 키 파일이 아니라 Tailscale ID로 인증합니다. 위 ACL의 ssh 섹션과 결합하면 프로덕션에 대해 2FA check를 강제할 수 있습니다.

8. 운영 팁

key expiry 끄기: 무인 서버는 관리자 콘솔에서 Disable key expiry를 체크해 180일 만료로 인한 갑작스런 연결 단절을 예방합니다.
device authorization 켜기: 새 장비 합류 시 관리자 승인을 요구하도록 설정하면 외부인이 조직 계정으로 로그인해도 자동 합류되지 않습니다.
로그 감사: Logs 탭에서 접속·거부 이벤트를 S3나 Panther 등에 스트리밍할 수 있습니다.
상태 확인: tailscale netcheck로 현재 장비의 NAT 유형, DERP 지연을 점검합니다.

Tailscale은 무료 요금제로도 사용자 3명·장비 100대까지 지원하므로 소규모 팀이나 개인 홈 랩에서 바로 도입할 수 있습니다. 자체 호스팅을 선호한다면 오픈소스 대안인 Headscale로 동일한 구성을 구축할 수 있습니다.

Caddy로 자동 HTTPS 웹서버 구축하기

2026-02-25T10:00:00+09:00

HTTPS 인증서 자동 발급·갱신을 위해 certbot 크론을 걸고, Nginx 설정을 복사하며 씨름한 경험이 있다면 Caddy를 한 번 써볼 가치가 있습니다. Caddy는 ACME 클라이언트가 서버에 내장돼 있어, 도메인만 지정하면 TLS 인증서 발급부터 자동 갱신까지 모두 처리합니다. 이 글에서는 Caddy 설치, Caddyfile 문법, 리버스 프록시 구성, 그리고 실무에서 자주 마주치는 설정 패턴을 정리합니다.

Caddy가 해결하는 문제

Nginx를 기준으로 보면, HTTPS를 갖춘 단순 리버스 프록시 하나를 띄우기 위해 보통 다음이 필요합니다.

certbot으로 초기 인증서 발급
Nginx server 블록(80/443) 각각 작성
ssl_certificate, ssl_certificate_key, OCSP stapling, HSTS 등 수십 줄
certbot renew 크론 및 hook

Caddy는 이 모든 것을 기본값으로 끌어안습니다. 별도 모듈 없이도 현대적 TLS 기본값(HTTP/2, OCSP, HSTS, 자동 리다이렉트)이 켜진 상태로 시작합니다.

설치

Rocky Linux 9

# 공식 저장소 추가
dnf install -y 'dnf-command(copr)'
dnf copr enable -y @caddy/caddy
dnf install -y caddy

systemctl enable --now caddy

Ubuntu 22.04 / 24.04

sudo apt install -y debian-keyring debian-archive-keyring apt-transport-https curl
curl -1sLf 'https://dl.cloudsmith.io/public/caddy/stable/gpg.key' \
  | sudo gpg --dearmor -o /usr/share/keyrings/caddy-stable-archive-keyring.gpg
curl -1sLf 'https://dl.cloudsmith.io/public/caddy/stable/debian.deb.txt' \
  | sudo tee /etc/apt/sources.list.d/caddy-stable.list

sudo apt update
sudo apt install -y caddy

Caddyfile 기본 문법

기본 설정 파일 위치는 /etc/caddy/Caddyfile입니다. 가장 단순한 정적 사이트는 두 줄이면 끝입니다.

example.com {
    root * /var/www/example.com
    file_server
}

위 설정으로 Caddy는 자동으로 다음을 수행합니다.

example.com에 대한 Let’s Encrypt 인증서 발급
HTTP(80) → HTTPS(443) 자동 리다이렉트
HTTP/2 활성화 및 TLS 1.3 우선
90일마다 인증서 자동 갱신

리버스 프록시 구성

내부 애플리케이션을 HTTPS로 노출하는 가장 흔한 패턴입니다.

app.example.com {
    reverse_proxy 127.0.0.1:3000

    header {
        Strict-Transport-Security "max-age=31536000; includeSubDomains"
        X-Content-Type-Options "nosniff"
        Referrer-Policy "strict-origin-when-cross-origin"
    }

    encode zstd gzip

    log {
        output file /var/log/caddy/app.log
        format json
    }
}

reverse_proxy 지시문은 기본적으로 X-Forwarded-For, X-Forwarded-Proto, X-Forwarded-Host 헤더를 설정합니다. 백엔드가 WebSocket을 쓰더라도 별도 설정이 필요 없습니다.

헬스체크와 로드밸런싱

api.example.com {
    reverse_proxy 10.0.0.11:8080 10.0.0.12:8080 10.0.0.13:8080 {
        lb_policy       round_robin
        health_uri      /healthz
        health_interval 10s
        health_timeout  3s
        health_status   200
    }
}

여러 사이트를 한 파일로 운영

단일 Caddyfile에서 수십 개 사이트를 운영해도 문제없습니다.

{
    email admin@example.com
    # 스테이징 환경에서는 Let's Encrypt staging 사용
    # acme_ca https://acme-staging-v02.api.letsencrypt.org/directory
}

blog.example.com {
    reverse_proxy 127.0.0.1:4000
}

shop.example.com {
    root * /var/www/shop
    file_server
    try_files {path} {path}/ /index.html
}

admin.example.com {
    reverse_proxy unix//run/admin/admin.sock
    basicauth {
        admin JDJhJDEwJEVCNmdaNEg2Ti5iejRMYkF3MFZhZ3VtV3E1SzBWZEZ5Q3UvZ1lKLzNKNldnSkI2d2VKcmtq
    }
}

basicauth의 해시는 caddy hash-password 명령으로 생성합니다.

인증서 저장 위치와 마이그레이션

Caddy는 인증서와 키를 /var/lib/caddy/.local/share/caddy/certificates/ 아래에 저장합니다. 서버 이전 시 이 디렉터리 전체를 복사하면 재발급 없이 인증서를 그대로 옮길 수 있어, Let’s Encrypt rate limit을 피할 수 있습니다.

# 원본 서버
tar czf caddy-data.tar.gz -C /var/lib/caddy/.local/share caddy

# 대상 서버
systemctl stop caddy
tar xzf caddy-data.tar.gz -C /var/lib/caddy/.local/share
chown -R caddy:caddy /var/lib/caddy
systemctl start caddy

설정 검증과 무중단 리로드

# 문법 검증
caddy validate --config /etc/caddy/Caddyfile

# 무중단 리로드 (in-flight 요청 유지)
systemctl reload caddy

systemctl reload는 내부적으로 Caddy의 admin API(/load)를 호출해 새 설정을 적용합니다. 기존 연결은 끊어지지 않습니다.

Nginx와 비교할 때 주의할 점

항목	Caddy	Nginx
자동 HTTPS	내장	certbot 별도
설정 문법	간결, 기본값 안전	유연, 기본값 약함
모듈 확장	빌드 시 포함 (`xcaddy`)	동적/정적 모듈
성능	단일 서버 수준에서 동등	동등, 튜닝 여지 많음
상세 튜닝	제한적	풍부한 디렉티브

트래픽이 매우 많고 세밀한 튜닝이 필요하다면 Nginx가 여전히 유리합니다. 반면 운영자 한 명이 수십 개의 사이트를 돌봐야 하는 상황이라면 Caddy의 설정 간결성은 압도적입니다.

자동 HTTPS는 단순히 편의 기능이 아니라 운영 실수로 인증서가 만료되는 사고를 구조적으로 차단합니다. 소규모 서비스, 스테이징·개발 환경, 혹은 내부용 리버스 프록시라면 Caddy를 기본 선택지로 두어도 손해볼 것이 없습니다.

Windows Server 성능 모니터링 완벽 가이드

2026-02-15T10:00:00+09:00

서버 성능 문제는 증상이 나타나기 전에 선제적으로 모니터링해야 합니다. Windows Server는 성능 카운터, 이벤트 로그, WMI 등 다양한 모니터링 인터페이스를 제공합니다. 이 글에서는 실무에서 바로 활용 가능한 모니터링 방법을 소개합니다.

Windows Server 성능 지표를 실시간으로 모니터링하는 화면

성능 카운터 기본 이해

핵심 성능 카운터

카운터	정상 범위	경고 기준
`\Processor(_Total)\% Processor Time`	< 70%	> 85% 지속
`\Memory\Available MBytes`	> 전체의 20%	< 10%
`\PhysicalDisk(_Total)\% Disk Time`	< 50%	> 80%
`\Network Interface(*)\Bytes Total/sec`	< 80% 대역폭	> 90%
`\System\Processor Queue Length`	< CPU 수 × 2	> CPU 수 × 4

PowerShell로 실시간 모니터링

# CPU 사용률 실시간 확인 (5초 간격)
Get-Counter -Counter "\Processor(_Total)\% Processor Time" `
    -SampleInterval 5 -MaxSamples 12 |
    ForEach-Object {
        $cpu = [math]::Round($_.CounterSamples[0].CookedValue, 1)
        Write-Host "$(Get-Date -Format 'HH:mm:ss') CPU: $cpu%"
    }

# 메모리 사용량 확인
$os = Get-WmiObject Win32_OperatingSystem
$totalMB = [math]::Round($os.TotalVisibleMemorySize / 1KB)
$freeMB  = [math]::Round($os.FreePhysicalMemory / 1KB)
$usedMB  = $totalMB - $freeMB
$usedPct = [math]::Round($usedMB / $totalMB * 100, 1)

Write-Host "메모리: ${usedMB}MB 사용 / ${totalMB}MB 전체 ($usedPct%)"

종합 성능 대시보드

function Get-ServerPerformance {
    param([string]$ComputerName = $env:COMPUTERNAME)

    $counters = @(
        "\Processor(_Total)\% Processor Time",
        "\Memory\Available MBytes",
        "\PhysicalDisk(_Total)\Disk Reads/sec",
        "\PhysicalDisk(_Total)\Disk Writes/sec",
        "\Network Interface(*)\Bytes Total/sec",
        "\System\Processor Queue Length"
    )

    $samples = Get-Counter -ComputerName $ComputerName `
        -Counter $counters -SampleInterval 3 -MaxSamples 3

    $avg = $samples.CounterSamples | Group-Object Path |
        ForEach-Object {
            [PSCustomObject]@{
                Counter = $_.Name -replace "^\\\\[^\\]+", ""
                Average = [math]::Round(
                    ($_.Group | Measure-Object CookedValue -Average).Average, 2
                )
            }
        }

    $avg | Format-Table -AutoSize
}

Get-ServerPerformance

성능 데이터 수집기(PerfMon)

# 성능 데이터 수집기 세트 생성 및 시작
$query = New-Object System.Diagnostics.Eventing.Reader.EventLogQuery

# logman으로 성능 로그 생성
logman create counter "ServerMonitor" `
    --v `
    -c "\Processor(_Total)\% Processor Time" `
       "\Memory\Available MBytes" `
       "\PhysicalDisk(_Total)\% Disk Time" `
    -si 30 `
    -f csv `
    -o "C:\PerfLogs\ServerMonitor"

# 수집 시작/중지
logman start ServerMonitor
logman stop ServerMonitor

# 현재 수집기 목록
logman query

프로세스별 리소스 사용량

# CPU 사용률 상위 프로세스
Get-Process | Sort-Object CPU -Descending | Select-Object -First 10 |
    Format-Table Name, ID,
    @{N='CPU(s)'; E={[math]::Round($_.CPU, 1)}},
    @{N='MemMB'; E={[math]::Round($_.WorkingSet/1MB, 1)}},
    Handles -AutoSize

# 메모리 사용 상위 프로세스
Get-Process | Sort-Object WorkingSet -Descending | Select-Object -First 10 |
    Format-Table Name, ID,
    @{N='MemMB'; E={[math]::Round($_.WorkingSet/1MB, 1)}},
    @{N='VirtualMB'; E={[math]::Round($_.VirtualMemorySize64/1MB, 1)}} -AutoSize

# 특정 프로세스 상세 모니터링
while ($true) {
    $proc = Get-Process -Name "w3wp" -ErrorAction SilentlyContinue
    if ($proc) {
        $proc | Format-Table Name, ID,
            @{N='CPU'; E={[math]::Round($_.CPU, 1)}},
            @{N='MemMB'; E={[math]::Round($_.WorkingSet/1MB, 1)}}
    }
    Start-Sleep -Seconds 5
}

대시보드에서 Windows Server 성능을 시각화하는 모습

디스크 I/O 분석

# 디스크 사용량 확인
Get-PSDrive -PSProvider FileSystem |
    Select-Object Name,
    @{N='UsedGB'; E={[math]::Round($_.Used/1GB, 1)}},
    @{N='FreeGB'; E={[math]::Round($_.Free/1GB, 1)}},
    @{N='TotalGB'; E={[math]::Round(($_.Used+$_.Free)/1GB, 1)}},
    @{N='UsedPct'; E={[math]::Round($_.Used/($_.Used+$_.Free)*100, 1)}} |
    Format-Table -AutoSize

# 디스크 I/O 성능
Get-Counter -Counter @(
    "\PhysicalDisk(_Total)\Disk Reads/sec",
    "\PhysicalDisk(_Total)\Disk Writes/sec",
    "\PhysicalDisk(_Total)\Avg. Disk Queue Length"
) -SampleInterval 5 -MaxSamples 6 |
    ForEach-Object {
        $_.CounterSamples | Format-Table Path,
        @{N='Value'; E={[math]::Round($_.CookedValue, 2)}} -AutoSize
    }

네트워크 성능 모니터링

# 네트워크 어댑터 현재 상태
Get-NetAdapterStatistics |
    Select-Object Name,
    @{N='ReceivedMB'; E={[math]::Round($_.ReceivedBytes/1MB, 2)}},
    @{N='SentMB'; E={[math]::Round($_.SentBytes/1MB, 2)}},
    ReceivedUnicastPackets, SentUnicastPackets |
    Format-Table -AutoSize

# 네트워크 연결 상태
Get-NetTCPConnection |
    Group-Object State |
    Sort-Object Count -Descending |
    Format-Table Name, Count -AutoSize

# 대역폭 사용률 실시간 (10초 평균)
$adapter = "Ethernet"
Get-Counter "\Network Interface($adapter)\Bytes Total/sec" `
    -SampleInterval 1 -MaxSamples 10 |
    ForEach-Object {
        $mbps = [math]::Round($_.CounterSamples[0].CookedValue * 8 / 1MB, 2)
        Write-Host "$(Get-Date -Format 'HH:mm:ss') $adapter: $mbps Mbps"
    }

성능 알림 스크립트

# 임계값 초과 시 이메일 알림
function Monitor-ServerResources {
    param(
        [int]$CpuThreshold = 85,
        [int]$MemThresholdMB = 1024,
        [int]$DiskThreshold = 90
    )

    # CPU 확인
    $cpu = (Get-Counter "\Processor(_Total)\% Processor Time").CounterSamples[0].CookedValue
    if ($cpu -gt $CpuThreshold) {
        Write-Warning "CPU 경고: $([math]::Round($cpu, 1))% (임계값: $CpuThreshold%)"
    }

    # 메모리 확인
    $freeMem = (Get-WmiObject Win32_OperatingSystem).FreePhysicalMemory / 1KB
    if ($freeMem -lt $MemThresholdMB) {
        Write-Warning "메모리 경고: 여유 $([math]::Round($freeMem, 0))MB (임계값: $MemThresholdMB MB)"
    }

    # 디스크 확인
    Get-PSDrive -PSProvider FileSystem | ForEach-Object {
        $used = $_.Used / ($_.Used + $_.Free) * 100
        if ($used -gt $DiskThreshold) {
            Write-Warning "디스크 경고: $($_.Name): 드라이브 사용률 $([math]::Round($used,1))%"
        }
    }
}

# 5분마다 모니터링
while ($true) {
    Monitor-ServerResources
    Start-Sleep -Seconds 300
}

성능 모니터링의 핵심은 정상 기준선(Baseline)을 파악하는 것입니다. 서버를 처음 구성할 때부터 성능 데이터를 수집하여 정상 패턴을 파악해두면, 이후 문제 발생 시 빠르게 이상 징후를 발견할 수 있습니다. 수집된 데이터는 Grafana, Azure Monitor 같은 도구로 시각화하면 더욱 효과적입니다.

Nginx 리버스 프록시 완벽 설정 가이드

2026-02-05T10:00:00+09:00

리버스 프록시는 클라이언트와 백엔드 서버 사이에서 요청을 중계하는 서버입니다. Nginx를 리버스 프록시로 활용하면 SSL 처리, 정적 파일 캐싱, 압축, 보안 헤더 추가 등의 기능을 백엔드에서 분리하여 처리할 수 있습니다.

Nginx 리버스 프록시로 구성된 웹 서비스 아키텍처

기본 리버스 프록시 설정

# /etc/nginx/conf.d/proxy.conf

server {
    listen 80;
    server_name example.com;

    location / {
        proxy_pass http://127.0.0.1:8080;

        # 원래 클라이언트 정보 전달
        proxy_set_header Host              $host;
        proxy_set_header X-Real-IP         $remote_addr;
        proxy_set_header X-Forwarded-For   $proxy_add_x_forwarded_for;
        proxy_set_header X-Forwarded-Proto $scheme;
    }
}

SSL 종료(Termination) 설정

server {
    listen 443 ssl http2;
    server_name example.com;

    # SSL 인증서
    ssl_certificate     /etc/letsencrypt/live/example.com/fullchain.pem;
    ssl_certificate_key /etc/letsencrypt/live/example.com/privkey.pem;

    # SSL 보안 설정
    ssl_protocols TLSv1.2 TLSv1.3;
    ssl_ciphers ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256;
    ssl_prefer_server_ciphers off;
    ssl_session_cache shared:SSL:10m;
    ssl_session_timeout 1d;

    # 보안 헤더
    add_header Strict-Transport-Security "max-age=63072000" always;
    add_header X-Frame-Options DENY;
    add_header X-Content-Type-Options nosniff;
    add_header Referrer-Policy "strict-origin-when-cross-origin";

    location / {
        proxy_pass http://127.0.0.1:3000;
        proxy_set_header Host              $host;
        proxy_set_header X-Real-IP         $remote_addr;
        proxy_set_header X-Forwarded-For   $proxy_add_x_forwarded_for;
        proxy_set_header X-Forwarded-Proto https;
    }
}

# HTTP → HTTPS 리다이렉트
server {
    listen 80;
    server_name example.com;
    return 301 https://$host$request_uri;
}

경로 기반 프록시 (API 게이트웨이)

server {
    listen 443 ssl;
    server_name api.example.com;

    # 정적 파일
    location /static/ {
        root /var/www;
        expires 30d;
        add_header Cache-Control "public, immutable";
    }

    # REST API → Node.js
    location /api/v1/ {
        proxy_pass http://127.0.0.1:3000;
        proxy_read_timeout 30s;
    }

    # WebSocket → Node.js
    location /ws/ {
        proxy_pass http://127.0.0.1:3001;
        proxy_http_version 1.1;
        proxy_set_header Upgrade $http_upgrade;
        proxy_set_header Connection "upgrade";
    }

    # 파일 업로드 → Python 서비스
    location /upload/ {
        proxy_pass http://127.0.0.1:5000;
        client_max_body_size 100M;
        proxy_read_timeout 300s;
    }
}

프록시 캐싱 설정

# /etc/nginx/nginx.conf (http 블록 내)
proxy_cache_path /var/cache/nginx
    levels=1:2
    keys_zone=my_cache:10m
    max_size=10g
    inactive=60m
    use_temp_path=off;

# /etc/nginx/conf.d/proxy.conf
server {
    location / {
        proxy_pass http://backend;
        proxy_cache my_cache;
        proxy_cache_valid 200 302 10m;
        proxy_cache_valid 404 1m;
        proxy_cache_use_stale error timeout http_500 http_502 http_503;
        proxy_cache_lock on;

        # 캐시 상태를 응답 헤더에 추가 (디버깅)
        add_header X-Cache-Status $upstream_cache_status;
    }

    # 캐시 무효화 (특정 IP에서만 허용)
    location ~ /purge(/.*) {
        allow 127.0.0.1;
        deny all;
        proxy_cache_purge my_cache $scheme$host$1;
    }
}

리버스 프록시를 통한 트래픽 흐름 모니터링

속도 제한(Rate Limiting)

# 요청 속도 제한 존 정의 (http 블록)
limit_req_zone $binary_remote_addr zone=api_limit:10m rate=10r/s;
limit_req_zone $binary_remote_addr zone=login_limit:10m rate=5r/m;

server {
    # API 엔드포인트 속도 제한
    location /api/ {
        limit_req zone=api_limit burst=20 nodelay;
        limit_req_status 429;
        proxy_pass http://backend;
    }

    # 로그인 엔드포인트 엄격한 제한
    location /api/auth/login {
        limit_req zone=login_limit burst=5;
        proxy_pass http://backend;
    }
}

타임아웃 설정

server {
    location / {
        proxy_pass http://backend;

        # 연결 타임아웃 (백엔드 연결 시도 최대 시간)
        proxy_connect_timeout 5s;

        # 쓰기 타임아웃 (백엔드로 요청 전송 최대 시간)
        proxy_send_timeout 60s;

        # 읽기 타임아웃 (백엔드 응답 대기 최대 시간)
        proxy_read_timeout 60s;

        # 긴 작업용 별도 location
    }

    location /api/export {
        proxy_pass http://backend;
        proxy_read_timeout 300s;  # 5분
        proxy_send_timeout 300s;
    }
}

업스트림 헬스체크

# Nginx Plus 또는 nginx_upstream_check_module 사용
upstream backend {
    server 192.168.1.10:8080;
    server 192.168.1.11:8080;
    server 192.168.1.12:8080;

    keepalive 32;
}

server {
    location / {
        proxy_pass http://backend;
        proxy_next_upstream error timeout http_500 http_502 http_503;
        proxy_next_upstream_tries 2;
    }
}

설정 적용 및 테스트

# 설정 문법 검사
nginx -t

# 설정 리로드 (무중단)
systemctl reload nginx

# 프록시 동작 확인
curl -I https://example.com/api/health
curl -v http://127.0.0.1:8080  # 백엔드 직접 확인

# 캐시 상태 확인
curl -I https://example.com/api/data | grep X-Cache-Status

# 속도 제한 테스트
for i in {1..20}; do curl -s -o /dev/null -w "%{http_code}\n" https://example.com/api/test; done

Nginx 리버스 프록시는 단순 중계 기능을 넘어 SSL 처리, 캐싱, 속도 제한, 보안 헤더 주입 등 다양한 미들웨어 역할을 합니다. 백엔드 애플리케이션이 비즈니스 로직에만 집중할 수 있도록 인프라 관심사를 Nginx에서 처리하는 아키텍처를 권장합니다.

리눅스 LVM 고급 관리: 온라인 확장부터 스냅샷까지

2026-01-28T10:00:00+09:00

LVM은 리눅스의 유연한 디스크 관리 시스템으로, 파티션과 달리 서비스 중단 없이 볼륨을 확장하거나 스냅샷을 생성할 수 있습니다. 운영 중인 서버에서 디스크 공간이 부족할 때 LVM을 활용하면 무중단으로 문제를 해결할 수 있습니다.

LVM으로 유연하게 관리되는 스토리지 시스템

LVM 기본 구조

물리 디스크 (/dev/sdb, /dev/sdc)
    └── PV(Physical Volume)
         └── VG(Volume Group: vg_data)
              ├── LV(Logical Volume: lv_app)  → /dev/vg_data/lv_app
              └── LV(Logical Volume: lv_log)  → /dev/vg_data/lv_log

디스크 추가 및 PV 생성

# 새 디스크 확인
lsblk
fdisk -l /dev/sdb

# 파티션 없이 디스크 전체를 PV로 사용
pvcreate /dev/sdb

# 파티션으로 PV 생성
fdisk /dev/sdc   # n → p → 1 → 기본값 → 기본값 → t → 8e → w
pvcreate /dev/sdc1

# PV 목록 확인
pvs
pvdisplay /dev/sdb

VG에 디스크 추가 (온라인 확장)

# 기존 VG에 새 PV 추가 (서비스 중단 불필요)
vgextend vg_data /dev/sdb

# VG 정보 확인
vgs
vgdisplay vg_data

# 사용 가능한 PE(Physical Extent) 확인
vgs -o +free

LV 확장 (온라인)

# 모든 여유 공간을 LV에 추가
lvextend -l +100%FREE /dev/vg_data/lv_app

# 특정 크기만큼 추가
lvextend -L +50G /dev/vg_data/lv_app

# 특정 크기로 설정
lvextend -L 200G /dev/vg_data/lv_app

# LV 확장 후 파일시스템도 즉시 확장
lvextend -L +50G -r /dev/vg_data/lv_app   # -r: --resizefs 자동 실행

# 파일시스템만 별도 확장
# ext4:
resize2fs /dev/vg_data/lv_app

# xfs:
xfs_growfs /mount/point

LV 축소 (ext4만 가능, 위험 작업)

# 반드시 언마운트 후 진행 (xfs는 불가)
umount /app

# 파일시스템 검사
e2fsck -f /dev/vg_data/lv_app

# 파일시스템 먼저 축소
resize2fs /dev/vg_data/lv_app 100G

# 그 다음 LV 축소
lvreduce -L 100G /dev/vg_data/lv_app

# 재마운트
mount /dev/vg_data/lv_app /app

LVM 스냅샷

스냅샷은 백업 전 일관된 상태를 보장하거나 롤백 포인트를 만들 때 유용합니다.

# 스냅샷 생성 (10GB 스냅샷 공간 할당)
lvcreate -L 10G -s -n lv_app_snap /dev/vg_data/lv_app

# 스냅샷 목록 확인
lvs -a | grep snap
lvdisplay /dev/vg_data/lv_app_snap

# 스냅샷 마운트 (읽기 전용 백업)
mkdir -p /mnt/snap
mount -o ro,nouuid /dev/vg_data/lv_app_snap /mnt/snap

# 스냅샷으로 백업
rsync -av /mnt/snap/ /backup/app-$(date +%Y%m%d)/
umount /mnt/snap

# 스냅샷 제거
lvremove /dev/vg_data/lv_app_snap

스냅샷으로 롤백

# 서비스 중지
systemctl stop myapp

# LV 언마운트
umount /app

# 스냅샷으로 원본 복원
lvconvert --merge /dev/vg_data/lv_app_snap

# LV 재마운트 및 서비스 시작
mount /dev/vg_data/lv_app /app
systemctl start myapp

LVM 볼륨 관리 명령어 실행 화면

씬 프로비저닝 (Thin Provisioning)

# 씬 풀 생성 (100GB 풀)
lvcreate -L 100G --thinpool tp_pool vg_data

# 씬 볼륨 생성 (실제 공간보다 크게 할당 가능)
lvcreate -V 200G --thin -n lv_app_thin vg_data/tp_pool

# 씬 볼륨 정보
lvs -a vg_data

LVM 캐시 (SSD 캐싱)

# SSD를 캐시 PV로 추가
pvcreate /dev/nvme0n1
vgextend vg_data /dev/nvme0n1

# 캐시 풀 생성 (SSD 디바이스에)
lvcreate -L 20G --type cache-pool \
  --cachemode writethrough \
  -n lv_cache_pool \
  vg_data /dev/nvme0n1

# 기존 LV에 캐시 연결
lvconvert --type cache \
  --cachepool vg_data/lv_cache_pool \
  vg_data/lv_app

주요 LVM 명령어 정리

# 전체 LVM 상태 한눈에 확인
pvs; vgs; lvs

# 상세 정보
pvdisplay; vgdisplay; lvdisplay

# PV/VG/LV 삭제 순서
lvremove /dev/vg_data/lv_app
vgremove vg_data
pvremove /dev/sdb

# LVM 메타데이터 백업
vgcfgbackup vg_data
# 저장 위치: /etc/lvm/backup/vg_data

# LVM 메타데이터 복원
vgcfgrestore vg_data

LVM은 한 번 익숙해지면 서버 스토리지 관리의 필수 도구가 됩니다. 특히 운영 중인 서버에서 무중단 디스크 확장이 필요할 때 진가를 발휘합니다. 스냅샷을 활용한 데이터베이스 백업 자동화와 함께 사용하면 더욱 강력한 스토리지 관리 체계를 갖출 수 있습니다.

윈도우 서버 PowerShell 자동화 실전 가이드

2026-01-20T10:00:00+09:00

윈도우 서버 관리에서 반복적인 작업은 시간과 에너지를 낭비합니다. PowerShell은 마이크로소프트가 제공하는 강력한 스크립팅 언어이자 쉘로, 윈도우 서버의 거의 모든 기능을 자동화할 수 있습니다. 이 글에서는 실무에서 바로 활용 가능한 PowerShell 자동화 스크립트를 소개합니다.

PowerShell 스크립트가 실행되는 서버 터미널

PowerShell 실행 정책 설정

PowerShell 스크립트를 실행하기 전에 먼저 실행 정책을 확인하고 설정해야 합니다.

# 현재 실행 정책 확인
Get-ExecutionPolicy

# 로컬 스크립트 실행 허용 (원격 스크립트는 서명 필요)
Set-ExecutionPolicy RemoteSigned -Scope CurrentUser

# 관리자 권한으로 전체 시스템에 적용
Set-ExecutionPolicy RemoteSigned -Scope LocalMachine -Force

시스템 정보 수집 자동화

기본 시스템 정보 조회

# 운영체제 정보
Get-ComputerInfo | Select-Object WindowsProductName, WindowsVersion, TotalPhysicalMemory

# CPU 정보
Get-WmiObject Win32_Processor | Select-Object Name, NumberOfCores, MaxClockSpeed

# 디스크 사용량 확인
Get-PSDrive -PSProvider FileSystem |
  Select-Object Name, @{N='사용량(GB)';E={[math]::Round($_.Used/1GB,2)}},
                      @{N='여유공간(GB)';E={[math]::Round($_.Free/1GB,2)}},
                      @{N='전체(GB)';E={[math]::Round(($_.Used+$_.Free)/1GB,2)}}

서버 상태 보고서 자동 생성

# 서버 상태 보고서를 HTML 파일로 생성
$reportPath = "C:\Reports\server-status-$(Get-Date -Format 'yyyyMMdd').html"

$cpuLoad = (Get-WmiObject Win32_Processor).LoadPercentage
$memTotal = [math]::Round((Get-WmiObject Win32_ComputerSystem).TotalPhysicalMemory / 1GB, 2)
$memFree = [math]::Round((Get-WmiObject Win32_OperatingSystem).FreePhysicalMemory / 1MB, 2)

$html = @"


서버 상태 보고서 - $(Get-Date -Format 'yyyy-MM-dd HH:mm')
CPU 사용률: $cpuLoad%
메모리: ${memFree}GB / ${memTotal}GB 여유


"@

$html | Out-File -FilePath $reportPath -Encoding UTF8
Write-Host "보고서 생성 완료: $reportPath"

사용자 계정 일괄 관리

CSV 파일로 사용자 대량 생성

# users.csv 형식: Name,SamAccountName,Department,Password
Import-Csv "C:\users.csv" | ForEach-Object {
    $securePassword = ConvertTo-SecureString $_.Password -AsPlainText -Force

    New-LocalUser -Name $_.SamAccountName `
                  -Password $securePassword `
                  -FullName $_.Name `
                  -Description $_.Department `
                  -PasswordNeverExpires:$false

    Add-LocalGroupMember -Group "Users" -Member $_.SamAccountName

    Write-Host "사용자 생성 완료: $($_.SamAccountName)"
}

비활성 사용자 자동 비활성화

# 90일 이상 로그인하지 않은 계정 비활성화
$inactiveDays = 90
$cutoffDate = (Get-Date).AddDays(-$inactiveDays)

Get-ADUser -Filter {LastLogonDate -lt $cutoffDate -and Enabled -eq $true} `
           -Properties LastLogonDate |
ForEach-Object {
    Disable-ADAccount -Identity $_
    Write-Host "비활성화: $($_.SamAccountName) (마지막 로그인: $($_.LastLogonDate))"
}

서비스 모니터링 및 자동 재시작

# 감시할 서비스 목록
$monitoredServices = @("W3SVC", "MSSQLSERVER", "WinRM")

foreach ($serviceName in $monitoredServices) {
    $service = Get-Service -Name $serviceName -ErrorAction SilentlyContinue

    if ($null -eq $service) {
        Write-Warning "서비스를 찾을 수 없음: $serviceName"
        continue
    }

    if ($service.Status -ne "Running") {
        Write-Host "서비스 재시작 중: $serviceName"
        Start-Service -Name $serviceName

        # 이벤트 로그에 기록
        Write-EventLog -LogName Application `
                       -Source "PowerShell Monitoring" `
                       -EventId 1001 `
                       -EntryType Warning `
                       -Message "$serviceName 서비스가 중지되어 재시작했습니다."
    } else {
        Write-Host "$serviceName : 정상 실행 중"
    }
}

PowerShell로 관리되는 윈도우 서버 인프라

로그 파일 자동 정리

# 30일 이상 된 로그 파일 자동 삭제
$logPath = "C:\Windows\Logs"
$daysToKeep = 30
$cutoffDate = (Get-Date).AddDays(-$daysToKeep)

$deletedFiles = Get-ChildItem -Path $logPath -Recurse -File |
    Where-Object { $_.LastWriteTime -lt $cutoffDate -and $_.Extension -in @('.log', '.txt') } |
    ForEach-Object {
        $fileSize = [math]::Round($_.Length / 1KB, 2)
        Remove-Item $_.FullName -Force
        "$($_.Name) ($fileSize KB)"
    }

Write-Host "삭제된 파일 수: $($deletedFiles.Count)"
$deletedFiles | ForEach-Object { Write-Host "  - $_" }

백업 자동화

# 중요 디렉토리를 날짜별 폴더에 백업
function Backup-ServerData {
    param(
        [string]$SourcePath,
        [string]$BackupRoot,
        [int]$RetentionDays = 14
    )

    $dateStamp = Get-Date -Format "yyyy-MM-dd"
    $backupPath = Join-Path $BackupRoot $dateStamp

    # 백업 디렉토리 생성
    if (-not (Test-Path $backupPath)) {
        New-Item -ItemType Directory -Path $backupPath | Out-Null
    }

    # 파일 복사
    Copy-Item -Path $SourcePath -Destination $backupPath -Recurse -Force
    Write-Host "백업 완료: $backupPath"

    # 오래된 백업 정리
    Get-ChildItem -Path $BackupRoot -Directory |
        Where-Object { $_.CreationTime -lt (Get-Date).AddDays(-$RetentionDays) } |
        ForEach-Object {
            Remove-Item $_.FullName -Recurse -Force
            Write-Host "오래된 백업 삭제: $($_.Name)"
        }
}

# 사용 예시
Backup-ServerData -SourcePath "C:\InetPub\wwwroot" `
                  -BackupRoot "D:\Backups\Web" `
                  -RetentionDays 14

작업 스케줄러 등록

PowerShell 스크립트를 작업 스케줄러에 등록하여 정기적으로 실행합니다.

# 매일 새벽 2시에 백업 스크립트 실행
$action = New-ScheduledTaskAction `
    -Execute "PowerShell.exe" `
    -Argument "-NonInteractive -ExecutionPolicy Bypass -File C:\Scripts\backup.ps1"

$trigger = New-ScheduledTaskTrigger -Daily -At "02:00"

$settings = New-ScheduledTaskSettingsSet `
    -StartWhenAvailable `
    -RunOnlyIfNetworkAvailable:$false

Register-ScheduledTask `
    -TaskName "DailyBackup" `
    -Action $action `
    -Trigger $trigger `
    -Settings $settings `
    -RunLevel Highest `
    -Force

Write-Host "작업 스케줄러 등록 완료"

원격 서버 일괄 관리

# 여러 서버에 동시에 명령 실행
$servers = @("WEB01", "WEB02", "DB01", "APP01")

$results = Invoke-Command -ComputerName $servers -ScriptBlock {
    [PSCustomObject]@{
        ServerName  = $env:COMPUTERNAME
        OS          = (Get-WmiObject Win32_OperatingSystem).Caption
        CPU         = (Get-WmiObject Win32_Processor).LoadPercentage
        FreeDiskGB  = [math]::Round(
            (Get-PSDrive C).Free / 1GB, 2
        )
        Uptime      = (Get-Date) - (Get-CimInstance Win32_OperatingSystem).LastBootUpTime
    }
}

$results | Format-Table -AutoSize

# CSV로 저장
$results | Export-Csv "C:\Reports\server-health-$(Get-Date -Format 'yyyyMMdd').csv" `
           -NoTypeInformation -Encoding UTF8

PowerShell 모듈 관리

# PowerShellGet으로 유용한 모듈 설치
Install-Module -Name PSWindowsUpdate -Scope AllUsers -Force
Install-Module -Name Az -Scope AllUsers -AllowClobber -Force  # Azure 관리
Install-Module -Name dbatools -Scope AllUsers -Force           # SQL Server 관리

# 설치된 모듈 확인
Get-Module -ListAvailable | Select-Object Name, Version | Sort-Object Name

# Windows Update 자동화 (PSWindowsUpdate 사용)
Import-Module PSWindowsUpdate
Get-WindowsUpdate -AcceptAll -Install -AutoReboot

PowerShell 자동화는 윈도우 서버 관리의 효율을 크게 높여줍니다. 스크립트를 처음 작성할 때는 -WhatIf 매개변수를 활용해 실제 변경 없이 동작을 미리 확인하는 습관을 들이세요. 또한 스크립트를 Git으로 버전 관리하면 변경 이력을 추적하고 팀원과 공유하기 쉬워집니다. 작은 자동화부터 시작해 점차 범위를 넓혀가는 것이 실용적인 접근 방식입니다.

리눅스 서버에 Elasticsearch 설치 및 기본 설정

2026-01-12T10:00:00+09:00

Elasticsearch는 분산 검색 및 분석 엔진으로, 로그 분석(ELK 스택), 전문 검색, 실시간 분석에 널리 사용됩니다. 올바른 초기 설정이 이후 운영 안정성에 큰 영향을 미칩니다.

Elasticsearch 클러스터가 운영되는 서버 환경

Elasticsearch 설치

RHEL / Rocky Linux / AlmaLinux

# GPG 키 추가 및 저장소 설정
rpm --import https://artifacts.elastic.co/GPG-KEY-elasticsearch

cat > /etc/yum.repos.d/elasticsearch.repo << 'EOF'
[elasticsearch]
name=Elasticsearch repository for 8.x packages
baseurl=https://artifacts.elastic.co/packages/8.x/yum
gpgcheck=1
gpgkey=https://artifacts.elastic.co/GPG-KEY-elasticsearch
enabled=1
autorefresh=1
type=rpm-md
EOF

# 설치
dnf install elasticsearch -y

Ubuntu / Debian

# GPG 키 추가
wget -qO - https://artifacts.elastic.co/GPG-KEY-elasticsearch | \
  gpg --dearmor -o /usr/share/keyrings/elasticsearch-keyring.gpg

# 저장소 추가
echo "deb [signed-by=/usr/share/keyrings/elasticsearch-keyring.gpg] \
  https://artifacts.elastic.co/packages/8.x/apt stable main" | \
  tee /etc/apt/sources.list.d/elastic-8.x.list

# 설치
apt update && apt install elasticsearch -y

주요 설정 파일

elasticsearch.yml

# /etc/elasticsearch/elasticsearch.yml

# 클러스터 및 노드 이름
cluster.name: my-cluster
node.name: node-1

# 데이터 및 로그 경로
path.data: /var/lib/elasticsearch
path.logs: /var/log/elasticsearch

# 네트워크 설정
network.host: 0.0.0.0
http.port: 9200

# 클러스터 초기 마스터 노드 (단일 노드)
discovery.type: single-node

# JVM 힙 메모리 (RAM의 50%, 최대 32GB)
# /etc/elasticsearch/jvm.options.d/heap.options 에서 설정

# X-Pack 보안 (기본 활성화)
xpack.security.enabled: true
xpack.security.http.ssl.enabled: false  # 개발환경에서 비활성화

# 인덱스 자동 생성 허용
action.auto_create_index: true

JVM 힙 메모리 설정

# /etc/elasticsearch/jvm.options.d/heap.options
cat > /etc/elasticsearch/jvm.options.d/heap.options << 'EOF'
# 서버 RAM의 50% 할당 (최대 32GB)
# 16GB RAM 서버:
-Xms8g
-Xmx8g
EOF

서비스 시작 및 확인

# 시스템 최대 파일 디스크립터 설정 (필수)
cat >> /etc/security/limits.conf << 'EOF'
elasticsearch soft nofile 65536
elasticsearch hard nofile 65536
EOF

# 가상 메모리 맵 설정 (필수)
sysctl -w vm.max_map_count=262144
echo "vm.max_map_count=262144" >> /etc/sysctl.conf

# 서비스 시작
systemctl daemon-reload
systemctl enable elasticsearch
systemctl start elasticsearch

# 상태 확인
systemctl status elasticsearch

# 초기 비밀번호 확인 (최초 설치 시)
/usr/share/elasticsearch/bin/elasticsearch-reset-password -u elastic

클러스터 상태 확인

# 클러스터 상태 (보안 비활성화 환경)
curl -X GET "localhost:9200/_cluster/health?pretty"

# 인증 포함
curl -u elastic:password -X GET "localhost:9200/_cluster/health?pretty"

# 출력 예시:
# {
#   "cluster_name" : "my-cluster",
#   "status" : "green",
#   "number_of_nodes" : 1,
#   "active_shards" : 10
# }

# 노드 정보
curl -u elastic:password "localhost:9200/_cat/nodes?v"

# 인덱스 목록
curl -u elastic:password "localhost:9200/_cat/indices?v"

Elasticsearch API를 통해 데이터를 조회하는 화면

인덱스 생성 및 데이터 삽입

# 인덱스 생성
curl -u elastic:password -X PUT "localhost:9200/logs-2026.01" \
  -H "Content-Type: application/json" -d '{
  "settings": {
    "number_of_shards": 1,
    "number_of_replicas": 0,
    "index.refresh_interval": "30s"
  },
  "mappings": {
    "properties": {
      "@timestamp": { "type": "date" },
      "level": { "type": "keyword" },
      "message": { "type": "text" },
      "host": { "type": "keyword" }
    }
  }
}'

# 문서 삽입
curl -u elastic:password -X POST "localhost:9200/logs-2026.01/_doc" \
  -H "Content-Type: application/json" -d '{
  "@timestamp": "2026-01-12T10:00:00Z",
  "level": "ERROR",
  "message": "Connection timeout to database",
  "host": "web01"
}'

# 검색
curl -u elastic:password -X GET "localhost:9200/logs-2026.01/_search?pretty" \
  -H "Content-Type: application/json" -d '{
  "query": {
    "match": { "level": "ERROR" }
  }
}'

ILM(인덱스 생명주기 관리) 설정

# 30일 후 Hot → Warm, 90일 후 삭제하는 정책
curl -u elastic:password -X PUT "localhost:9200/_ilm/policy/log-policy" \
  -H "Content-Type: application/json" -d '{
  "policy": {
    "phases": {
      "hot": {
        "min_age": "0ms",
        "actions": {
          "rollover": {
            "max_age": "7d",
            "max_size": "50gb"
          }
        }
      },
      "warm": {
        "min_age": "30d",
        "actions": {
          "shrink": { "number_of_shards": 1 },
          "forcemerge": { "max_num_segments": 1 }
        }
      },
      "delete": {
        "min_age": "90d",
        "actions": { "delete": {} }
      }
    }
  }
}'

스냅샷 백업

# 파일 시스템 저장소 등록
curl -u elastic:password -X PUT "localhost:9200/_snapshot/my_backup" \
  -H "Content-Type: application/json" -d '{
  "type": "fs",
  "settings": {
    "location": "/var/backups/elasticsearch"
  }
}'

# 스냅샷 생성
curl -u elastic:password -X PUT "localhost:9200/_snapshot/my_backup/snapshot-$(date +%Y%m%d)?wait_for_completion=true"

# 스냅샷 목록
curl -u elastic:password "localhost:9200/_snapshot/my_backup/_all?pretty"

Elasticsearch 운영에서 가장 중요한 것은 적절한 JVM 힙 크기 설정과 디스크 공간 관리입니다. ILM 정책을 통해 오래된 인덱스를 자동으로 정리하고, 정기적인 스냅샷 백업으로 데이터를 보호하세요.